Q Qualys. 


MongoDB 認証 (VM、PC、 SCA) 


認証 スキ ャ ン に 関心 を お 寄せ いた だ き あ り が と う ご ざ いま す 。 認 証 
し 、 最も 正確 な 結果 を 取得 し 、 誤 検出 を 減ら すこ と が で き 


設定 し て 使用 する と 、 ホ スト を さら に 詳し く 評 人 


ます 。 本 書 で は 、 コ ンプ ライ アン スス キャ ン に お ける 


MongoDB 認証 の 設定 に 関す る ヒン ト と ベス ト プ ラ クティ ス に つい て 説明 し ます 。 


考慮 すべ き 事 項 


サポ ー ト され る テク ノロ ジ 
MongoDB 3.x、 MongoDB 4.x 


認証 を 使用 する 理由 


認証 を 使用 する と 、 提供 され た 資格 情報 で 対象 の 各 シ ステ ム に リモ ー ト か ら ロ グイ ン す る こと が で きま す 。 ログ イン 
する こと で 、 テ スト 中 に さら に 多く の こと が 行え る よう に な り ま す 。 その た め 、 各 シス テム の セキ ュ リ ティ 状態 に つい て 、 
より 適切 に 可視 化す る こと が で きま す 。 認証 は 、 コ ンプ ライ アン スス キャ ン で は 必須 で す 。 


資格 情報 の 安全 性 に つい て 


資格 情報 は 、 読み 取り 専用 と し て シス テム へ の アク セス に 使用 され ます 。 デバ イス 上 で 資格 情報 を 修正 し た り 、 何 


か を 書き 込ん だ りす る と いう こと は 、 決 し て あり ませ ん 。 資格 
行 中 に の み 使 用 され ます 。 


操作 手順 


青 報 は 安全 


性 を 確保 し た 状態 で 扱わ れ 、 ス キャ ン の 実 


まず 、 対象 の ホス ト 上 で 認証 スキ ャ ン 用 の MongoDB ユー ザ ア カ ウ ント と 権限 を 設定 し ます 。 次 に 、Qualys Policy 


Compliance を 使用 し て 次 の 手順 を 実行 し ます 。 1) MongoDB 認証 レコ ー ド を 追加 し ます 。 2) コン プラ イア ンス ス 
キャ ン を 開始 し ます 。 3) 認証 レポ ー ト を 実行 し て 、 スキャン 済み の 各 ホ スト の 認証 ステ ー タ ス (「Passed」 ま た は 


「Failed」) を 表示 し ます 。 


MongoDB 資格 情報 


スキ ャ ン を 実行 する 前 に 存在 し て いる 必要 が ある アカ ウン ト と 権限 を 設定 する た め に 、 以 下 の ス クリ プ ト の セッ ト が 用 


意 さ れ て いま す 。 注記 - これ ら の スク リプ ト で は 、 createRole、 createUser、 お よび grantRole に 対す る 権限 を 持つ 


スー パー ユー ザ ア カ ウ ント が 必要 に な り ま す 。 例え ば 、userAdmn ヨ ョ 


指定 の スク リプ ト を 表示 され た 順序 で 実行 し て くだ さい 。 正常 に 


デー タベース で 作成 する 必要 が あり ます 。 


無断 複写 ・ 転 載 を 禁じ ます 。 2017-2020 年 クキ リス ジャ パン 株 式 会 社 


実行 する た め 、 ロ ー ル と スキ ャ ン ア カウ ント は 管理 


また は dbOwner ロー ル を 持つ アカ ウン ト で す 。 


1)「MongoDB」 デ ー タ ベー ス 内 の スキ ャ ン ア カウ ント の ロー ル を 作成 する 

この スク リプ ト に より 、 スキ ャ ン に 使用 3 れる ユー ザ ア カ ウ ント の ロー ル が 作成 され ます 。 また 、 認証 が 正常 に 実行 さ 
れ 、 コ ンプ ライ アン スス キャ ン が 実行 され る た め に 必要 と され る 権限 が ロー ル に 付与 され ます 。 スク リプ ト を 実行 する 
前 に 、qualys Role と いう 名 前 の ロー ル を 作成 し 、 パ スワ ー ド を 指定 する こと を お 勧め し ます 。 


use admin 
db.createRole( 
{ 
role: "qualys Role", 
privileges: [ 


resource: { db: "", collection: "" }, actions: [ "viewRole", "viewUser" ]}, 
resource: { "cluster" : true }, actions: [ "getCmdLineOpts" ]}, 

resource: { db: "admin", collection: "system.users" }, actions: [ "find" ]}, 
resource: { db: "admin", collection: "system.roles" }, actions: [ "find" ]} 


roles: [] 


2) ユー ザ ア カ ウ ント を 作成 する 


この スク リプ ト に より 、 スキ ャ ン に 使用 され る ユー ザ ア カ ウ ント が 作成 され ます 。 スク リプ ト を 実行 する 前 に 、 パス ワー ド 
を 指定 し て くだ さい 。 また 、 この スク リプ ト に より 、 手順 1 で 作成 し た ロー ル (qualys_Role) が アカ ウン ト に 付与 され ます 。 


スク リプ ト を 実行 する 前 に 、qualys_scan と いう 名 前 の アカ ウン ト を 作成 し 、 パ スワ ー ド を 設定 する こと を お 和 勧め し ます 。 


use admin 
db.createUser ( 
{ 
user: "qualys scan", 
pwd: "<password>", 
roles: [ "qualys Role"] 


) 


X509 サブ ジェ クト で 識別 され る ユー ザ が スキ ャ ン の た め に 作成 され た 場合 は 、 手 順 1 で 作成 し た ロー ル 
(qualys Role) を ユー ザ ア カ ウ ント に 付与 し て くだ さい 。 


3) スキ ャ ン ア カウ ント の 権限 を 確認 する 
qualys_scan アカ ウン ト が 、 コ ンプ ライ アン スス キャ ン を 正常 に 実行 する た め の 管 理 デ ー タ ベー ス 内 の 権限 を すべ て 
持っ て いる こと を 確認 し ます 。 “ qualys_scan "アカ ウン ト を 使用 し て イン スタ ンス に ログ イン し 、 こ の アカ ウン ト に アク 
セス が 可能 か どう か を 確認 する た め に 以下 の クエ リ を 実行 し ます 。 


38) 
use admin 
db . runCommand( {getCmdLineOpts: 1 } ) 


予想 され る 出力 の 例 : 
{ 
"ardV" :[ 
"/usr/bin/mongod"/ 
リーーoonf1d す 7"/ 
"/etc/mongodb1 . conf" 
] , 
"parsed" : { 
"config" : "/etc/mongodb1 . conf"/ 
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"net" : 人 【 
OO 3 27017 
} 

}, 


"security" : { 
"authorization" : "enab1ed" 
), 
"storage" : { 
"dbPath" : "/usr/1oca1/mongodb1 /data"/ 
"ourna1" : { 
"enabled" : true 
} 
}, 
"systemLog" : { 
"destination" : "file", 
"logAppend" : true, 
"path" : "/var/log/mongodbl . 1og", 
"quiet" : false 
} 
}, 
Wk 刷 


3b) 


use admin 
db.runCommand ({"find": "system.users", "filter":{}, limit:1l, "projection": {"user":1," id": 


0}}) 


予想 され る 出力 の 例 : 
{ 
VOICSOYT ef 
firstBatch" : [ 
{ 
"user" : "qualys scan" 
} 
] , 
"id" : NumberLongd (0), 
"ms" : "admin.system.users" 
}, 
te id 1 
} 
3c) 


use admin 
db .runCommand({ "find": "system. roles", "filter":{}, 11mit:1, "projection": {"role":1," id": 


0}}) 


予想 され る 出力 の 例 : 
{ 
7OLESOP" 
firstBatch" : [ 
{ 
"role" : "qualys Role"™ 
} 
] , 
"id" : NumberLongd (0), 
"ns" : "admin.system.roles" 
}, 
Wok 3 1 


異な る 結果 が 出 た 場合 は 、MongoDB DBA に 連絡 し て 、 権限 が 正しく 設定 され て いる こと を 確認 し て くだ さい 。 
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MongoDB 認証 レコ ー ド 


スキ ャ ン 対 象 の 各 MongoDB イン スタ ンス に 対し て 個 ‘= Scans |Scans Maps Schedules Appliances 


別 の 認証 レコ ー ド を 作成 する 必要 が あり ます 。 スキ ャ | saaa 
ヽ ゝ さ sx 三 earch.. 
ン の 際 、 アカ ウン ト の すべ て の MongoDB 認証 レコ ュー 三 
ゝ ゝ ミミ 丸 内 ーー ニー ーー ニー ニニ ニニ ーー ニー 
MongoDB イン スタ ンス が 認証 され ます 。 円 N Operating Systems.… 3 | Tide 
Network and Security... 2 
a = | Agent Test fications... 10.115.76.151-10.115.76.152 
レコ ー ド を 作成 する 場所 ーー 3 
司 Global Default| Databases... と | iBMDB2 5.76.152 
「Scans ] > 「 Authentication ] > 「New 」 > 「Databases 」 VMware._ し | InformixDB 
a Global Default 
ュ ア 「MongoDB Record」 に 移動 し ます 。 System Record Templates... ト MariaDB 
| Global Default 
ム Authentication Vaults 
| Global Default MS SQL 
Download.… MySQL 
| Aqent Test 還 Unx 1 0 5 
Global Default Network Unix Oracle Listener 
同 Global Default Network Oracle Bivolal Greappham 
PostgreSQL 
| Global Default Network Oracle Ge 
"| Global Default Network Oracle Test Oracle Basic 
ログ イン 資格 情報 New MongoDB Record 


EE NY ee ts ’ Authentication 
が ヽ マー さ 内 
5 グ 人 マナ る 際 に 使 用 ず る = グ = Provide login credentials to use for authenticated scanning. You have the option to get the 
資格 情報 (ユー ザ 名 と パス ワー ド ) を account. 
入力 し ま す 。 Target Configuration ” Authentication Type: Basic 


Unix Configuration > Username*: 


user_john 


IPs > Password* ee 


Confirm Password*: COCO 


cen ETE 
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Vault に ある パス ワー ド に アク セス す 
る 方 法 

Qualys で は 、 複数 の サー ド パ ー テ ィ の eco ti > Authentication 

ノラ スワ 3 ド Vault と の 統合 ヵ ミサ ポー ト さ ea credentials to use for authenticated scanning. You have the option to get the log 
れ て いま す 。 「Scans」 つ 「Authentication」 Target Configuration 


New MongoDB Record 


Authentication Type: Vault based 
ーー「New」 つ 「Authentication Vaults」 に a on 
移動 し て 、 使 用 し て いる Vault シス テム 
を 設定 し ます 。 次 に レコ ー ド で 回 eka me 
「Authentication Vault」 を 選択 し 、 Vault eu Cyber-Ark PIM Suite 
名 を 選択 し ます 。 スキ ャ ン 時 に は 、 レ wie Fe 
コー ド 内 の アカ ウン ト 名 と Vault で 見 つ End Point Type*: Thycotic Secret Server 
か っ た パス ワー ド を 使用 し て ホス ト へ の 5 POO RS 


認証 が 行わ れ ま す 。 


秘密 鍵 の 使用 


MongoDB 認証 で は 、 鍵 認証 が サポ ー ト され て いま す 。 秘密 鍵 は 、MongoDB 認証 レコ ー ド 内 で 定義 する こと が で 
きま す 。 


, a ーー ささ 
必要 な デー タベース 情報 New MongoDB Record 
誰 性 す る テ の タベース 名 ど デ グ Record Title 
ベー ス が 実行 され て いる ポー ト を 指定 Target Configuration 
し ま す ( ま た } -} デ フキ オル 18 の デ タ Login Credentials Tell us the user account to use for authentication, he database instance you want to au 
こ installed. 


ベー ス 名 と ポ ト を 使 J じ ま す ) o Database Name*- admin 


Unix Configuration 
IPs 


Comments 


SSL の 必要 人 


SSL を 使用 する と 、 デー タベース に 安 Farget Configuraton 

全 に 接 続 で き ま す 。 デー タ ペペ ス Login Credentials To to use for authentication, he database inStance you want to authenticate to. and the port where the | 
サー バ が SSL に 対応 し て いる 場合 、 5 

「SSL Verify」 を 選択 すれ ば 、SSL で の 還 py 


保護 され た リン ク を リク エス ト す る こと 
に な り ま す 。 サー バ の SSL 証明 書 の 
検証 も 実施 され ます 。 デフ ォ ル ト で は 
この オプ ショ ン は false 【 に 設定 され て 
いま す 。 


Comments 


ane TE 
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MongoDB 構成 ファ イル 


必須 で は あり ませ ん が 、 重要 な の は 、 
認証 レコ ー ド 内 に MongoDB 構成 
ファ イル の 場所 を 指定 する こと で す 。 
この ファ イル は 、 特定 の チェ ッ ク で 必 
要 に な り ま す 。 Unix の 場合 、 こ の ファ 
イル に よっ て 、 探し て いる 情報 を 入力 
する うえ で 必要 な 情報 の 収集 に 役 立 


NN 


ち ま す 。 


レコ ー ド に IP を 追加 する 


入力 され た 資格 情報 を 使 


用 し て ス 


キャ ン エ ンジ ン が ログ イン する 必要 が 
ある MongoDB デー タベース の IP ア 


ドレ ス を 選択 し ます 。 


最終 更新 日 : 2020 年 6 月 19 日 
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New MongoDB Record 


Record Title > Unix Configuration 

Login Credentials > Enter the full path to the MongoDB configuration file on your Unix hosts. The file must be in the same local 
If different, create another record 

Target Configuration > Configuration File: Jetc/mongadb.conf 

Unix Configuration > example: fetcimongod.conf 

IPs > 

Comments > 


nc ET 


New MongoDB Record Launch 


Record Title > TPs 

Login Credentials > Add IPs to your MongoDB record. 

Target Configuration > Enter or Select IPs/Ranges: Select IPs/Ranges | Select Asset Group | Remove | Clear 
192.168.0.87-192.168.2.92 

Unix Configuration > 

ips > 


Comments > 


回 Display each IP/Range on new line 


rc 


